个人数据泄漏的潜在风险已成为国际首要议题,大量重大信息安全事件已将人们的注意力引向如何保护自己的个人详细信息。现如今,越来越多的个人和消费层面的应用均为云端应用。云为组织和消费者带来了诸多好处:节省成本,增加对信息的移动访问的灵活性。它同时也引起了对数据保护和隐私的担忧,特别是个人身份信息 (PII),PII被定义为可用于识别与此类信息相关的PII当事人以及可直接或间接与PII当事人关联的任何信息。
对用户而言,如果一个云服务提供商 (GSP) 能提供安心和信心给到其用户,证明其云服务是可靠的、符合适用法规和合同要求的,并对其能采用最好的行业实践,那么该云服务提供商将成为用户的最佳选择。在这种实际需求存在的背景下,ISO/IEC 27018应运而生。
ISO/IEC 27018是公有云服务中个人可识别信息保护的一种行为准则,以允许基础结构已通过标准认证的GSP告知其现有客户和潜在客户其数据受到保护,不会被用于未经他们明确同意的任何目的。ISO/IEC 27018提供了普遍接受的控制目标、实施措施保护个人可识别信息 (PII) 的控制和指导,使其与ISO/IEC 29100的隐私原则和世界各地的个人数据隐私法规一致。ISO/IEC 27018能够确保云服务供应商在处理PII方面有着适当的程序,它还可以帮助制定更强的云服务协议,旨在为云服务客户提供真正的价值与透明度。
ISO/IEC 27018通过两个途径提供了针对PII的额外控制:
1. 提供如何在PII保护背景下实施特定的ISO/IEC 27001控制的指导;
2. 提供在现有的ISO/IEC 27001下没有提到的,但针对云环境下PII的控制。
此外,ISO/IEC 27018为个人信息的返回,转移和安全处理建立清晰透明的参数;并要求GSP在客户签订合同之前公开其从事数据处理的任何子处理器的身份;如果GSP更改了自处理器,则要求GSP及时通知客户,使他们有机会反对并终止其协议。
ISO/IEC 27018适用于任何大型或小型组织,对于组织而言,证明合规性并显示其如何保护数据(尤其是未存储在一个位置的数据)至关重要。
○ ISO/IEC 27001-2013 信息技术-安全技术-信息安全管理体系-要求
○ ISO/IEC 29100-2018 信息技术-安全技术-隐私架构框架
○ ISO/IEC 27002-2022 信息安全、网络安全和隐私保护 信息安全控制
○ GB/T 35273-2020 信息安全技术 个人信息安全规范
提升顾客信心与信任
如果云服务提供商符合该标准,则意味着它对如何安全地处理PII已具有深刻的理解,并致力于保护其客户数据,这有助于提升客户对企业的信任感。
减少客户审核
许多客户通过频繁的审核将他们的管理权分配给供应商。ISO/IEC 27018是国际通用标准且能提供一个独立的第三方的证据,证明该组织的云操作不仅受控,而且是按照国际最佳实践基准标准进行控制的。
